Las aplicaciones móviles suelen ser un cebo usado por los ciberdelincuentes para colar malware en los dispositivos. Aunque las plataformas de apps pongan medidas de seguridad para intentar que esto no suceda, son tantas las aplicaciones que se suben diariamente que es algo difícil de controlar. En esta ocasión, 206 aplicaciones de la Google Play Store están afectadas por una vulnerabilidad conocida como SimBad, lo que provoca que los usuarios que las tienen instaladas sufran de una campaña masiva de adware móvil, además de phishing y la posibilidad de que sus datos pasen a terceros.
Esto en la práctica implica que se muestran una gran cantidad de anuncios en el dispositivo móvil, incluso fuera de la aplicación, y que los datos queden expuestos. En total, las aplicaciones afectadas cuentan con cerca de 150 millones de descargas. La mayoría de las apps infectadas son simuladores y juegos.
La compañía de seguridad Check Point ha sido la encargada de dar la voz de alarma e informar sobre este problema de seguridad móvil que afecta a millones de usuarios.
Así funciona la vulnerabilidad SimBad
Según explica Check Point, las actividades que SimBad puede desarrollar se dividen en 3 grupos: mostrar anuncios, phishing (suplantación de identidad) y exposición de datos a otras aplicaciones.
«Gracias a su habilidad para abrir una URL en un navegador, el criminal detrás de este ataque puede generar páginas de phishing para diversas plataformas y abrirlas en un navegador», explican los expertos de la compañía. De esta forma, el cibercriminal podría llevar a cabo incluso ataques de spear-phishing, que es phishing dirigido a personas concretas.
Los investigadores apuntan a que los atacantes podrían incluso llegar a instalar una aplicación «para uso en remoto desde un servidor asignado, pudiendo así instalar nuevos elementos de malware cuando sea necesario», debido a su habilidad para abrir aplicaciones en Google Play o 9Apps a través de una búsqueda mediante un determinada palabra clave o incluso en la propia página de la aplicación.
Según apunta la investigación, las aplicaciones infectadas presentan una característica común, y es que todas utilizan un Kit de Desarrollo de Software (en inglés, SDK) malicioso para llevar a cabo estas operaciones.
«Aunque existen SDKs cuyo objetivo es obtener rédito económico de las aplicaciones para móviles, los desarrolladores de videojuegos han elegido un SDK que les permite bombardear a los usuarios con una enorme cantidad de anuncios, lo que les permite aumentar sus ingresos», señalan desde Check Point.
En resumen, las aplicaciones infectadas muestran las siguientes características:
- Muestran anuncios fuera de las aplicaciones. Por ejemplo, cuando los usuarios desbloquean el teléfono o abren otras aplicaciones
- Abren constantemente tanto Google Play como 9Apps Store y redireccionan a otra aplicación con el objetivo de aumentar sus beneficios por la instalación de otras aplicaciones
- Para evitar ser desinstaladas, las aplicaciones esconden al launcher su icono de inicio de aplicación
- Abren un navegador con enlaces generados por el desarrollador de la aplicación
- Descargan archivos APK y piden al usuario que los instale
- Búsqueda de palabras en Google Play propuestas por la aplicación
Revisa si cuentas con alguna de ellas instalada
Snow Heavy Excavator Simulator, Hoverboard Racing, Real Tractor Farming Simulator, Ambulance Rescue Driving o Heavy Mountain Bus Simulator 2018 son las cinco principales apps afectadas. Entre ellas suman 30 millones de descargas.
La firma de seguridad ha publicado un listado con las 206 apps afectadas, que puedes ver aquí.
Revísalas, y si tienes alguna de ellas instalada en el dispositivo, elimínala cuanto antes.
¿Qué hacer si has sido afectado?
Los usuarios de Android que se hayan instalado las aplicaciones afectadas, deben acceder al menú de ajustes, hacer clic en «Apps» o en el «Gestor de aplicaciones», ir hasta la app sospechosa y desinstalarla.
Si no se encuentra, los expertos recomiendan borrar todas las aplicaciones instaladas recientemente.
En el caso de usuarios de iPhone, se debe acceder Menú de Ajustes, ir a ‘Safari’ y en la lista de opciones, asegurarse de que “bloquear pop-ups” está seleccionada. Después ir a “Avanzado” -> “Datos Website” y borrar todas las páginas que no sean conocidas.
